Webanalyse-Werkzeuge und Datenschutz - DSGVO-Update
Webanalyse-Werkzeuge und Datenschutz - DSGVO-Update
Blogbeitrag vom
Um zu wissen, wie ihr Angebot angenommen wird, sind Webanalyse-Werkzeuge auch für Betreiber von Kinder-Webseiten zentral. Die Werkzeuge messen etwa, wie oft und wie die Seite besucht wird und stellen die Ergebnisse in aufbereiteter Form zur Verfügung.
DSGVO-Update:Ab dem 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung (DSGVO). Der Text in dieser Box stellt eine Ergänzung zum darunter stehenden Haupttext dar. Zum Gesamtverständnis lohnt es sich beide Texte zu lesen. Seitenbetreiber sollten ihre bereits vorhandenen Angaben um weitere Informationen ergänzen. Das betrifft Hinweise zur Speicherdauer, zur vorgenommenen Anonymisierung, und zum spezifischen berechtigten Interesse. In den Mustertexten sind die entsprechenden Hinweise bereits weitgehend enthalten, wobei zu empfehlen ist, die Rechtsgrundlage des „berechtigten Interesses“ ausdrücklich zu erwähnen. Dann ist der erste Satz in etwa wie folgt zu fassen: |
Mustertext: Berechtigtes Interesse an WebanalyseZur Verbesserung unseres Onlineangebots werten wir gelegentlich aus, wie die Seite benutzt wird. Diese Auswertung erfolgt auf der Grundlage unseres berechtigten Interesses an der Verbesserung des Onlineangebotes (Art. 6 Abs. 1 lit. f DSGVO). |
Beim Einsatz von Webanalyse-Tool sollten zudem die Hinweise, die bereits im Beitrag „DSGVO-Update: Aufbau einer einfachen Datenschutzerklärung und Mustertext“ gemacht wurden, beachtet werden. |
In der Regel bieten diese Werkzeuge statistisch zusammengefasste Informationen an. Über die Auswertung der Zugriffe lässt sich unter Umständen aber auch genau verfolgen, welche Seiten ein bestimmter Nutzer besucht, welche Links er angeklickt hat und weitere Informationen. Das individuelle Verhalten der Nutzer wird durch Webtracking erfasst und Profile werden erstellt. An dieser Stelle kommen datenschutzrechtliche Regelungen ins Spiel.
Rechtliche Einordnung von Webtracking
Rechtlich ist die Analyse des Nutzungsverhaltens wohl als Verarbeitung zum Zwecke der Marktforschung einzuordnen und damit grundsätzlich zulässig, sofern die weiteren rechtlichen Anforderungen eingehalten werden.
Wenn durch Webanalyse-Werkzeuge Nutzerprofile erstellt werden, ist das erlaubt, solange diese pseudonym bleiben und Besuchern des Angebots die Möglichkeit gegeben wird, der Erstellung der Profile zu widersprechen.
Wer darüber hinausgehende Profile, etwa mit einer direkten Zuordnung zu Personen erstellen will, müsste wieder auf eine explizite Einwilligungserklärung zurückgreifen. Allerdings ist dies im Bereich der Webseitennutzungsanalyse absolut unüblich.
Werden Webanalyse-Werkzeuge eingesetzt, muss sich das in der allgemeinen Datenschutzerklärung des Angebots widerspiegeln. Hier ist auch ein geeigneter Ort, auf die Widerspruchsmöglichkeit hinzuweisen.
Datenschutz-Optionen am Beispiel Piwik
Für die Webanalyse gibt es unterschiedliche Anbieter. Ein verbreiteter und ohne großen Aufwand datenschutzfreundlich einsetzbarer Dienst ist „Piwik“. Seitenbetreiber/innen können das quelloffene Programm auf ihrem eigenen Webangebot einrichten. Das ist die datenschutzfreundlichste Lösung. Hierbei fallen die Daten nur beim Webseitenbetreiber an. Daneben ist es auch möglich, die Webanalyse mittels Piwik durch einen Dienstleister durchführen zu lassen.
Piwik bietet eine Reihe von Auswertungs- und Darstellungsmöglichkeiten der Webseiten-Besuche, die zumindest grundlegende statistische Auswertungen ermöglichen. Hingewiesen werden soll in diesem Rahmen auf die Möglichkeiten zur datenschutzfreundlichen Konfiguration von Piwik. Dazu gehört insbesondere die Option, IP-Adressen nur gekürzt zu speichern. Diese Einstellung ist bei einer Standardinstallation voreingestellt und wird von Datenschutzbehörden empfohlen. Der Nachteil: Einige statistische Auswertungen über die Nutzung des Angebots werden fehleranfälliger.
Muster: Datenschutz-Erklärung bei Einsatz von Piwik zur Webanalyse
Die Datenschutzerklärung der Internetseite muss die Nutzung von Webanalyse-Werkzeugen wie Piwik transparent machen und auch eine Widerspruchsmöglichkeit einräumen. Dies kann etwa dadurch geschehen, dass die Erklärung um folgenden Text ergänzt wird:
Verbesserung des Angebotes durch Besuchsstatistik Zur Verbesserung unseres Onlineangebots werten wir gelegentlich aus, wie die Seite benutzt wird. Wir erstellen hierfür Besucherstatistiken unter Nutzung der Anwendung Piwik. Diese Anwendung veranlasst in Ihrem Browser die Speicherung von zwei Identifikationsnummern (HTTP-Cookies), um unterschiedliche Nutzer zu unterscheiden. In diesem Zusammenhang wird Ihre IP-Adresse in die Auswertung einbezogen, aber umgehend so gekürzt, dass eine Zuordnung zu Ihnen nicht mehr möglich ist. Wenn Sie nicht damit einverstanden sind, dass Ihre Seitenaufrufe in die Statistiken einbezogen werden, haben Sie mehrere Möglichkeiten:
Sie können sich hier entscheiden, ob in Ihrem Browser ein eindeutiger Webanalyse-Cookie abgelegt werden darf, um dem Betreiber der Website die Erfassung und Analyse verschiedener statistischer Daten zu ermöglichen. Wenn Sie sich dagegen entscheiden möchten, klicken Sie den folgenden Link, um den Piwik-Deaktivierungs-Cookie in Ihrem Browser abzulegen. Ihr Besuch dieser Website wird aktuell von der Piwik Webanalyse erfasst. ❏ Klicken Sie hier, damit Ihr Besuch nicht mehr erfasst wird. |
Für den letzten Abschnitt, der auch das Opt-out ermöglicht, muss auch die technische Einbindung dieser Möglichkeit umgesetzt werden. Hinweise hierzu finden sich ebenfalls in der Dokumentation von Piwik.
Hinweis auf die Opt-out Möglichkeit in der Datenschutzerklärung der Kinderwebseite sowieso.de |
Vorschlag für den Einsatz des Webanalyse-Tools Piwik in kindgerechter Sprache:
Verbesserung der Webseite durch Auswertung der Besuche Zur Verbesserung unserer Webseite werten wir gelegentlich aus, wie die Seite benutzt wird. Wir schauen zum Beispiel, welche unserer Seiten häufig angeklickt werden und wie lange jemand auf unserem Angebot surft. Wir erstellen hierfür Statistiken von Besuchern und nutzen dafür das Programm „Piwik“. Piwik sagt deinem Browser, dass er Cookies speichern soll, um unterschiedliche Nutzer zu unterscheiden. Dabei wird auch deine IP-Adresse verwendet. Aber in gekürzter Form, so dass wir sie dir nicht zuordnen können. Wenn du und deine Eltern damit nicht einverstanden seid, dass deine Seitenaufrufe von uns ausgewertet werden, gibt es verschiedene Lösungen. Lass dir dabei von einem Erwachsenen helfen:
Du kannst dich hier entscheiden, ob in deinem Browser ein eindeutiger Webanalyse-Cookie abgelegt werden darf, um uns die Erfassung und Auswertung verschiedener Daten zu ermöglichen. Wenn du dich dagegen entscheiden möchtest, klicke auf den folgenden Link, um den Piwik-Deaktivierungs-Cookie in deinem Browser abzulegen. Dein Besuch dieser Website wird aktuell von der Piwik Webanalyse erfasst. ❏ Klicke hier, damit dein Besuch nicht mehr erfasst wird. |
Google Analytics
Das US-Unternehmen Google bietet unter dem Namen „Analytics“ ebenfalls einen Dienst an, der Nutzerzugriffe misst und übersichtlich darstellt. Auch dieses Produkt lässt sich wohl unterdessen rechtskonform einsetzen. Allerdings sind hier eine Reihe von Dingen berücksichtigen:
- Zunächst muss – wie bei Piwik – auch eine Möglichkeit zum Opt-out per Opt-out-Cookie eingebunden werden.
- Es müssen die erforderlichen Anpassungen in der Datenschutzerklärung vorgenommen werden.
- Es muss mit der Firma Google eine Auftragsdatenvereinbarung geschlossen werden. Dazu müssen Sie ein entsprechendes Schreiben an Google schicken.
- Die so genannte “AnonymizeIP-Funktion” muss im Code der Seite verwendet werden.
Eine gute Übersicht zum Thema findet sich unter anderem hier.
Allerdings ist das Angebot von Google immer wieder von Datenschutzbehörden kritisiert worden. Obwohl sowohl Google als auch die zuständigen Aufsichtsbehörde viel Zeit in die Suche nach einer möglichen Lösung investiert haben, blieben Zweifel, ob es möglich ist, Google Analytics rechtskonform einzusetzen. Für den Dienst „Universal Analytics“ ist die Rechtslage derzeit noch gar nicht umfassend diskutiert.
Rechtlich wird dies unter anderem am Gebot diskutiert, der Möglichkeit der Bildung pseudonymer Profile zu widersprechen. Eigentlich ist das Problem aber ein anderes: Google misst die Seitennutzung über eigene Server, so dass die Daten Google gleichzeitig auf für zur weiteren Auswertung und Anreicherung seines enormen Datenbestandes dienen. Ob und welcher Form hieraus ein gesellschaftliches Problem entsteht, ist bisher noch nicht abschließend erörtert.
Checkliste Webanalyse
- Werden Werkzeuge zur Webanalyse von externen Dienstleistern genutzt? Wurde eine Auftragsdatenvereinbarung abgeschlossen?
- Bei eigener Installation: Wurden datenschutzfreundliche Einstellungen aktiviert? (Vor allem: Kürzung der IP-Adressen)
- Ist der Einsatz des Werkzeugs in der Datenschutzerklärung aufgeführt?
- Ist eine Opt-out Möglichkeit für Besucher des Angebots vorgesehen?
Dieser Text ist im Rahmen der Service-Reihe „Datenschutz auf Webseiten“ in Zusammenarbeit von Seitenstark mit iRights.law Rechtsanwälte entstanden.
Webanalyse-Werkzeuge und Datenschutz von Seitenstark e.V. ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.